次の方法で共有

さまざまなシナリオでの Windows Defender アプリケーション制御の展開: デバイスの種類

Windows Defender Application Control (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

通常、Windows Defender Application Control (WDAC) の展開は、単に "オンにする" 機能ではなく、フェーズで最適に行われます。フェーズの選択とシーケンスは、さまざまなコンピューターやその他のデバイスを組織内で使用する方法と、IT がそれらのデバイスをどの程度管理するかによって異なります。 次の表は、組織内に WDAC を展開するための計画の作成を開始するのに役立ちます。 組織では、説明されている各カテゴリのデバイス ユース ケースが一般的です。

デバイスの種類

デバイスの種類 WDAC とこの種類のデバイスの関係
緩やかに管理されたデバイス: 所有するのは会社ですが、ユーザーはソフトウェアを自由にインストールできます。
このようなデバイスでは、組織のウイルス対策ソリューションとクライアント管理ツールを実行する必要があります。		 Windows Defender アプリケーション制御を使用すると、カーネルを保護したり、実行できるアプリケーションを制限するのではなく、問題のあるアプリケーションの監視 (監査) を行うことができます。
完全に管理されたデバイス: 許可されるソフトウェアは IT 部門によって制限されます。
ユーザーは、より多くのソフトウェアを要求したり、IT 部門が提供するアプリケーションの一覧からインストールしたりできます。
例: 会社が所有するロックダウンされたデスクトップ コンピューターやノート PC など。		 初期ベースライン Windows Defender アプリケーション制御ポリシーを確立して適用できます。 IT 部門は、より多くのアプリケーションを承認するたびに、WDAC ポリシーと (署名されていない LOB アプリケーションの場合) カタログを更新します。
ワークロードが固定されたデバイス: 毎日同じタスクを実行します。
承認済みアプリケーションの一覧は、ほとんど変更されません。
例: キオスク デバイス、販売時点管理システム、コール センターのコンピューターなど。		 Windows Defender アプリケーションコントロールは完全に展開でき、デプロイと進行中の管理は比較的簡単です。
Windows Defender アプリケーション制御の展開後、承認されたアプリケーションのみを実行できます。 この規則は、WDAC によって提供される保護が原因です。
Bring Your Own Device: 従業員は自分のデバイスを持ち込むことが許可されており、それらのデバイスを業務以外で使用することもできます。 ほとんどの場合、Windows Defender アプリケーションコントロールは適用されません。 代わりに、Microsoft Intune などの MDM ベースの条件付きアクセス ソリューションを使用した他の強化されたセキュリティ機能を検討してください。 ただし、これらのデバイスに監査モード ポリシーを展開するか、ブロックリストのみのポリシーを使用して、組織によって悪意のある、または脆弱と見なされる特定のアプリやバイナリを防ぐことができます。

Lamna Healthcare Company の概要

次の一連の記事では、Lamna Healthcare Company という架空の組織を使用して、上記の各シナリオについて説明します。

Lamna Healthcare Company (Lamna) は、米国で運営されている大規模な医療プロバイダーです。 Lamna は、医師や看護師から会計士、社内弁護士、IT 技術者まで、何千人もの人々を雇用しています。 デバイスのユース ケースはさまざまであり、専門スタッフ用のシングル ユーザー ワークステーション、患者の記録にアクセスするために医師や看護師が使用する共有キオスク、MRI スキャナーなどの専用医療機器などが含まれます。 さらに、Lamnaは、プロのスタッフの多くのためのリラックスした持ち込みデバイスポリシーを持っています。

Lamna は、Configuration Manager と Intune の両方でハイブリッド モードで Microsoft Intune を使用します。 Microsoft Intune を使用して多くのアプリケーションを展開していますが、Lamna では、個々のチームと従業員が自分のワークステーションでの役割に必要と思われるアプリケーションをインストールして使用できるようになりました。 また、Lamna は最近、エンドポイントの検出と応答を向上させるために Microsoft Defender for Endpoint の使用を開始しました。

最近、Lamna は、高価な回復プロセスを必要とするランサムウェア イベントを経験し、未知の攻撃者によるデータ流出が含まれている可能性があります。 攻撃の一部には、Lamna のウイルス対策ソリューションによる検出を回避したが、アプリケーション制御ポリシーによってブロックされた可能性がある悪意のあるバイナリのインストールと実行が含まれていました。 これに対し、Lamna の執行委員会は、アプリケーションの使用に関するポリシーの厳格化やアプリケーション制御の導入など、多くの新しいセキュリティ IT 対応を承認しました。

次へ